KI im Unternehmen datenschutzkonform einsetzen: Pflichten, Prozesse, Nachweise

Seit dem Inkrafttreten der Datenschutz-Grundverordnung im Mai 2018 trägt jedes Unternehmen die volle Beweislast, sobald personenbezogene Daten verarbeitet werden. Mit dem EU AI Act (Verordnung 2024/1689), gestaffelt anwendbar ab dem 2. August 2026 und vollständig wirksam ab dem 2. August 2027, kommt eine zweite Rechtsmaterie hinzu, die parallel zu greifen beginnt. Wer ChatGPT, Microsoft 365 Copilot, Gemini, Claude oder Mistral in den Arbeitsalltag holt, verarbeitet in aller Regel personenbezogene Daten und bewegt sich gleichzeitig im Geltungsbereich der KI-Verordnung. Der Datenschutzbeauftragte wird damit zur zentralen Kontrollinstanz für jede produktive Einführung, der Informationssicherheitsbeauftragte zum Partner für die technischen Schutzmaßnahmen.

Dieser Beitrag liefert die Pflichtenliste, die Prüfreihenfolge und die Dokumente, die ein Audit, eine Datenschutz-Aufsichtsbehörde oder ein interner Revisor sehen wollen. Er erklärt, wann eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO zwingend ist, wie eine belastbare KI-Richtlinie aufgebaut sein muss, wie die Auftragsverarbeitung nach Art. 28 DSGVO mit US-Anbietern und EU-basierten Plattformen abgesichert wird und welche zusätzlichen Pflichten der EU AI Act an Hochrisiko-Systeme, an allgemeine KI-Modelle (GPAI) sowie an Betreiber stellt. Die Vorlagen, Berichtslinien und Bestellurkunden, die in CIVAC abgebildet sind, finden Sie als konkrete Querverweise im Text wieder.

Generative KI berührt mindestens vier Rechtsmaterien parallel und meist weitere sektorspezifische Vorschriften. Erstens die DSGVO, sobald Prompts, Trainingsdaten oder Ausgaben Personenbezug haben. Hier gelten die bekannten Pflichten: Rechtsgrundlage nach Art. 6 DSGVO, Einwilligung nach Art. 7 falls einschlägig, Informationspflichten nach Art. 13 und 14, Verzeichnis der Verarbeitungstätigkeiten nach Art. 30, Datenschutz-Folgenabschätzung nach Art. 35 sowie die 72-Stunden-Meldefrist bei Datenpannen nach Art. 33. Zweitens der EU AI Act, der KI-Systeme in Risikoklassen einteilt und für allgemeine KI-Modelle (GPAI) eigene Transparenz- und Dokumentationspflichten kennt. Drittens das BDSG, das in § 26 die Verarbeitung von Beschäftigtendaten an enge Voraussetzungen knüpft und in § 38 die Pflicht zur Bestellung eines Datenschutzbeauftragten regelt. Viertens das Betriebsverfassungsgesetz: Nach § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat ein zwingendes Mitbestimmungsrecht, weil generative KI in aller Regel als technische Einrichtung zur Verhaltens- und Leistungskontrolle gilt.

Daneben greifen sektorspezifische Vorgaben mit eigenen Aufsichtsregimen. Banken sind an BAIT und MaRisk gebunden, Versicherer an die VAIT der BaFin, der öffentliche Sektor an OZG- und EGovG-Anforderungen, KRITIS-Betreiber an NIS-2 mit 24h-Frühwarnung und 72h-Folgemeldung. Wer KI für Bonitätsentscheidungen, Bewerberauswahl, Strafverfolgung oder kritische Infrastruktur einsetzt, landet zudem schnell in der Hochrisiko-Klasse des EU AI Act mit ihren Anforderungen an Risikomanagement, Datenqualität, Protokollierung, menschliche Aufsicht und Konformitätsbewertung. Der externe Datenschutzbeauftragte ordnet diese Schichten und übersetzt sie in konkrete Vorgaben für Fachbereiche, IT und Recht. Im CIVAC-Workspace liegt die Zuordnung als Kontrolltabelle: Anwendungsfall, betroffene Rechtsnorm, verantwortliche Rolle, Nachweisdokument, nächste Prüfung. Bestellurkunde, unterschrieben, abgelegt, belegbar.

Bevor ein KI-Tool freigegeben wird, muss der Anwendungsfall sauber beschrieben sein. Vier Fragen führen durch die Klassifikation und liefern gleichzeitig die Argumentation für die spätere Dokumentation. Erstens: Welche Daten fließen als Eingabe ein? Reine Konzernzahlen, anonyme Textbausteine oder personenbezogene Daten wie Bewerberlebensläufe, Kundennamen, Gesundheitsangaben oder Beschäftigtendaten? Zweitens: Was passiert mit der Ausgabe? Wird sie als Entwurf von einem Menschen geprüft, in einer Datenbank gespeichert oder fließt sie automatisiert in eine Entscheidung mit Außenwirkung gegenüber Betroffenen? Drittens: Welche Risikoklasse nach EU AI Act ist einschlägig? Minimales Risiko, begrenztes Risiko mit Transparenzpflicht, Hochrisiko nach Anhang III oder verbotene Praxis nach Art. 5? Viertens: Wer ist Anbieter, wer Betreiber, wer Einführer, wer Händler? Diese Rollen aus Art. 3 EU AI Act bestimmen die jeweilige Pflichtenkaskade.

Praktisch heißt das: Marketing, das mit ChatGPT generische Headlines entwirft, ist nicht dasselbe wie HR, das Bewerbungen vorsortiert und damit unter Anhang III Nr. 4 fällt. Eine Rechtsabteilung, die allgemeine Vertragsklauseln zusammenfasst, ohne Mandantennamen einzugeben, hat ein anderes Risikoprofil als ein Service-Center, das Tickets mit Klartextdaten in eine Cloud-LLM-API kippt. Die CIVAC-Workspace-Vorlage „KI-Anwendungsfall“ erfasst Zweck, Datenkategorien, Rechtsgrundlage, Empfänger, Speicherort, Löschfrist, Modellanbieter und Risikoklasse in einem strukturierten Formular. Daraus leiten sich automatisch die nächsten Pflichten ab: DSFA ja oder nein, AVV erforderlich, technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO, Schulungspflicht nach Art. 4 EU AI Act, Betriebsratsbeteiligung. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Wer die Klassifikation überspringt, verliert vor jeder Aufsicht das wichtigste Argument: dass die Risikoabwägung vorab und nicht erst nach dem Vorfall stattgefunden hat, und dass die Beweisführung dokumentiert war.

Art. 35 DSGVO verlangt eine Datenschutz-Folgenabschätzung (DSFA), wenn eine Verarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ zur Folge hat. Die Datenschutzkonferenz (DSK) der deutschen Aufsichtsbehörden hat in ihrer Muss-Liste vom 17. Oktober 2018, fortgeschrieben im Jahr 2023, ausdrücklich den „Einsatz von künstlicher Intelligenz zur Verarbeitung personenbezogener Daten zur Steuerung der Interaktion mit den Betroffenen oder zur Bewertung persönlicher Aspekte“ aufgeführt. Damit ist eine DSFA für die meisten produktiven KI-Einsätze mit Personenbezug Pflicht, nicht Option. Der Europäische Datenschutzausschuss (EDPB) hat in seiner Opinion 28/2024 zu KI-Modellen die Anforderungen weiter konkretisiert und betont, dass die Risikobewertung auch das Modelltraining, die Inferenz und die anschließende Nutzung umfasst.

Die DSFA besteht aus sechs Bausteinen: systematische Beschreibung der Verarbeitung, Bewertung der Erforderlichkeit und Verhältnismäßigkeit, Identifikation der Risiken für Betroffene, Maßnahmen zur Risikominderung, Konsultation des Datenschutzbeauftragten und gegebenenfalls Konsultation der Aufsichtsbehörde nach Art. 36 DSGVO bei hohem Restrisiko. Bei generativer KI sind die typischen Risiken: unbeabsichtigte Offenlegung von Daten über Logs oder Training, Halluzination mit falscher Personenzuordnung, fehlende Auskunfts- und Löschfähigkeit gegenüber Modellgewichten, Diskriminierung durch Trainingsbias, Übermittlung in unsichere Drittländer, fehlende Robustheit gegen Prompt Injection, mangelnde Erklärbarkeit der Ausgaben. Die CIVAC-DSFA-Vorlage bildet jeden Baustein als strukturiertes Feld ab und verknüpft Risiken mit konkreten Maßnahmen. Der DSB zeichnet im Workspace gegen, das Datum bleibt revisionssicher gespeichert. Frist läuft ab Kenntnis. Wer eine DSFA erst nach einem Vorfall nachzieht, verliert ein Verschuldensargument vor der Aufsicht und im Bußgeldverfahren nach Art. 83 DSGVO. Bußgelder reichen bis zu 20 Mio. Euro oder 4 % des weltweiten Konzernumsatzes.

Fast jede produktive KI-Lösung ist Software-as-a-Service. Damit ist der Anbieter regelmäßig Auftragsverarbeiter nach Art. 28 DSGVO, und es braucht einen Auftragsverarbeitungsvertrag (AVV). Die Pflichtbestandteile sind in Art. 28 Abs. 3 DSGVO abschließend geregelt: Gegenstand, Dauer, Art und Zweck der Verarbeitung, Art der Daten, Kategorien Betroffener, Pflichten und Rechte des Verantwortlichen. Hinzu kommen die Subunternehmer-Liste, die technischen und organisatorischen Maßnahmen, die Unterstützungspflichten bei Betroffenenanfragen, die Lösch- und Rückgabepflichten am Vertragsende sowie Audit-Rechte. Bei OpenAI, Anthropic, Google, Microsoft, Mistral oder Aleph Alpha steht der AVV jeweils online verfügbar; die juristische Prüfung muss die Anlage zu Subprozessoren, die Speicherorte, die Telemetrie-Übermittlung und die Lösch- sowie Trainings-Klauseln im Blick behalten.

Politisch heikel bleibt der Drittlandtransfer in die USA. Das EU-US Data Privacy Framework gilt seit dem 10. Juli 2023 und liefert mit dem Angemessenheitsbeschluss eine valide Rechtsgrundlage, ist aber nach den Erfahrungen mit Safe Harbor und Privacy Shield ein politisch fragiler Mechanismus. Wer auf Nummer sicher gehen will, wählt Anbieter mit EU-Datenresidenz, Standardvertragsklauseln (SCC 2021/914) plus Transfer Impact Assessment und vertraglich zugesicherter Verschlüsselung mit Kundenschlüsseln (BYOK). Microsoft bietet die EU Data Boundary, AWS den AI Service Opt-Out, Anthropic europäische Inferenz-Regionen, Aleph Alpha vollständig deutsches Hosting. CIVAC ist die Compliance-Plattform und Officer-as-a-Service und hält den Vergleich pro Anbieter als Audit-Vorlage im Workspace bereit: Speicherort, Trainingsklausel, SCC-Modul, Subprozessoren, Zertifizierungen wie ISO/IEC 27001:2022 und SOC 2 Typ II. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Der Prüfer ruft an, der Nachweis liegt bereit.

Eine produktive KI-Einführung scheitert selten an der Technik, häufig an der Governance. Drei Dokumente bilden das Mindestgerüst. Erstens die KI-Richtlinie, die für die Belegschaft beschreibt, welche Systeme freigegeben sind, welche Daten eingegeben werden dürfen, wer freigibt, welche Kennzeichnungspflicht für KI-erstellte Inhalte gilt, wie Halluzinationen behandelt werden und wie Vorfälle gemeldet werden. Zweitens die Schulungsunterlagen, die Art. 4 EU AI Act (KI-Kompetenz) operationalisieren. Seit dem 2. Februar 2026 sind Anbieter und Betreiber verpflichtet, sicherzustellen, dass eigenes Personal und in ihrem Auftrag tätige Personen über die erforderliche KI-Kompetenz verfügen, gemessen an Vorbildung, Erfahrung, Einsatzbereich und Risikoprofil. Drittens die Betriebsvereinbarung, die das Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG abbildet und Klarheit für Belegschaft, Personalrat und Aufsicht schafft.

Praktisch bewährt hat sich eine zweistufige Schulungspflicht. Alle Mitarbeitenden absolvieren ein Basismodul von 30 bis 45 Minuten mit Wissensabfrage und Pflicht-Zertifikat. Power-User aus HR, Recht, Finanzen, Vertrieb, Forschung und Entwicklung erhalten ein vertieftes Modul mit Anwendungsfällen aus dem eigenen Bereich sowie konkreten Negativbeispielen. Die Teilnahme wird im Workspace dokumentiert, Erinnerungen für Auffrischungen laufen automatisch nach 12 Monaten. Audit-fest, dokumentiert, § 26-fest. Der Betriebsrat sollte früh in die Pilotphase eingebunden werden; die Betriebsvereinbarung enthält typischerweise Zweckbindung, Datenkategorien, technische Sperren, Auswertungs- und Protokollierungsregeln, ein Beendigungsrecht bei Zweckverfehlung sowie ein periodisches Reporting an die Mitbestimmungsorgane. Wer diese drei Dokumente vorlegt, hat das Fundament für jede Aufsichtsprüfung, jede Audit-Frage und jede Bewerbung um Aufträge gelegt, in denen öffentliche oder private Auftraggeber den Nachweis ordnungsgemäßen KI-Einsatzes verlangen. Lieferanten-Audits, IT-Due-Diligence im M&A-Prozess und Cyberversicherer prüfen diese Trias zunehmend explizit.

Der EU AI Act ist seit dem 1. August 2024 in Kraft und wird gestaffelt anwendbar. Verbote nach Art. 5 und KI-Kompetenz nach Art. 4 gelten seit dem 2. Februar 2026. Die GPAI-Pflichten und das Strafregime greifen ab dem 2. August 2026. Hochrisiko-Systeme nach Anhang III sind ab dem 2. August 2027 voll erfasst, eingebettete Hochrisiko-Systeme aus Anhang I sogar bis 2. August 2027 mit Übergangsbestimmungen. Vier Risikoklassen sind zu unterscheiden. Unannehmbar (verboten): Social Scoring, biometrische Echtzeit-Fernidentifikation in öffentlich zugänglichen Räumen mit engen Ausnahmen, emotionserkennende Systeme am Arbeitsplatz und in der Bildung, manipulative Praktiken. Hoch: KI in Recruiting, Bonität, kritischer Infrastruktur, Strafverfolgung, Justiz, Migration, Bildung. Begrenzt: Chatbots, Deepfakes und KI-erstellte Inhalte mit Transparenzpflicht. Minimal: Spam-Filter, Empfehlungslogik, Rechtschreibhilfen.

Für Betreiber, also die meisten Unternehmen, sind zentrale Pflichten: Einhaltung der Bedienungsanleitung des Anbieters nach Art. 26, Sicherstellen der menschlichen Aufsicht, Qualität der Eingabedaten, Protokollierung und Aufbewahrung der Logs, Information der Beschäftigtenvertretung vor Inbetriebnahme eines Hochrisiko-Systems am Arbeitsplatz, Information der betroffenen Personen über den Einsatz, Meldung schwerer Vorfälle. Für GPAI-Modelle gelten ab August 2026 eigene Anforderungen: technische Dokumentation, Urheberrechts-Policy, Trainingsdaten-Übersicht im Sinne von Art. 53, bei „systemischem Risiko“ zusätzliche Bewertung, Red-Teaming und Meldung schwerer Vorfälle. Bußgelder reichen bis 35 Mio. Euro oder 7 % des weltweiten Konzernumsatzes nach Art. 99 AI Act. Die CIVAC-Workspace-Vorlage „AI Act Inventar“ ordnet pro System: Risikoklasse, Anbieter-/Betreiberrolle, Pflichtenliste, Fristen, verantwortliche Rolle, Nachweisstand und nächste Prüfung. Mehr Hintergrund zum Zeitplan finden Sie in unserer Übersicht der EU-AI-Act-Pflichten. Die zuständige Marktüberwachungsbehörde in Deutschland wird im Geltungsbereich der Bundeskompetenzen die Bundesnetzagentur sein, ergänzt um sektorspezifische Behörden wie BaFin und BSI.

Art. 32 DSGVO verlangt einen risikoangemessenen Stand der Technik. Für generative KI hat sich eine Mindestliste technischer und organisatorischer Maßnahmen etabliert. Identitäts- und Berechtigungsmanagement mit Single-Sign-On, Multi-Faktor-Authentifizierung und Conditional Access verhindert Schatten-Accounts und ungeprüfte Tool-Nutzung. Data-Loss-Prevention auf Endgeräten und im Browser sperrt Eingaben von Kreditkartennummern, Krankenversicherungsnummern, Sozialversicherungsnummern oder Quellcode in nicht freigegebene Tools. Logging und Auditierbarkeit der Prompts ist Pflicht in regulierten Branchen, Aufbewahrung nach Zweck und Mandant getrennt. Rollenbasierte Modellauswahl trennt unkritische Standardanwendungen von hochsensiblen Workloads, etwa über getrennte Tenants oder Modell-Routing.

Auf Modellebene zählen Trainings-Opt-out, Retention-Kontrolle (Daten werden nach Sitzung gelöscht oder gar nicht erst gespeichert), Verschlüsselung in Transit (TLS 1.2 oder höher) und at Rest (AES-256), Kundenschlüssel-Verwaltung über KMS oder HSM, Schutz vor Prompt Injection durch Input-Sanitisierung und gegen Modell-Halluzination durch nachgelagerte Validierung oder Retrieval-Augmented-Generation mit verlässlichen Quellen. Auf Prozessebene gehören Penetrationstests, regelmäßige Wirksamkeitsprüfung der TOM mindestens jährlich, eine eingespielte Datenpannen-Meldekette nach Art. 33 DSGVO mit 72-Stunden-Frist und ein dokumentiertes Vorgehen bei Aufsichtsanfragen dazu. Die 93 Controls nach ISO/IEC 27001:2022 lassen sich überwiegend eins zu eins auf KI-Workflows mappen; Annex A.5 (Information Security Policies), A.8 (Asset Management), A.5.34 (Privacy and PII) sowie die neuen Controls A.5.23 Cloud Services und A.8.28 Secure Coding sind zentrale Knoten. Im CIVAC-Workspace pflegen Sie die TOM als lebendiges Inventar, jeder Eintrag mit Verantwortlichem, Prüfdatum und Nachweisanhang. Der externe Informationssicherheitsbeauftragte verzahnt die TOM mit dem ISMS und sorgt dafür, dass DSGVO und ISO 27001 nicht parallel laufen, sondern aufeinander zeigen. So entsteht aus zwei Pflichten ein einheitliches Kontrollsystem mit gemeinsamer Berichtslinie zur Geschäftsführung.

Drei Pflichten werden bei generativer KI in der Praxis regelmäßig unterschätzt: Datenpannen, Betroffenenrechte und Löschung. Art. 33 DSGVO verlangt eine Meldung „unverzüglich, möglichst binnen 72 Stunden“ nach Kenntnis einer Datenpanne an die zuständige Aufsichtsbehörde, bei hohem Risiko zusätzlich an die Betroffenen nach Art. 34. Eine Datenpanne kann bei KI eintreten durch versehentliche Eingabe sensibler Daten in ein öffentliches Modell, durch Log-Leck beim Anbieter, durch Prompt Injection mit Datenexfiltration, durch fehlerhaftes Mandanten-Isolation in Multi-Tenant-Architekturen oder durch falschen Adressaten in einem KI-generierten Mailing. Die Meldekette muss zwischen Fachbereich, IT-Sicherheit, DSB, Vorstand und Aufsicht eingespielt sein. Bei NIS-2-pflichtigen Unternehmen kommt parallel die 24-Stunden-Frühwarnung an das BSI nach § 32 BSIG hinzu, gefolgt von der 72-Stunden-Folgemeldung und der Abschlussmeldung nach einem Monat.

Betroffenenrechte aus Art. 15 bis 22 DSGVO sind bei großen Sprachmodellen anspruchsvoll. Auskunft, Berichtigung und Löschung lassen sich gegen ein Modellgewicht nicht ohne Weiteres erfüllen. Praktisch wird unterschieden: Eingaben (Prompts) und Ausgaben sind klassische Verarbeitungen, hier gelten alle Rechte uneingeschränkt. Trainings- oder Feintuning-Daten erfordern AVV-Klauseln mit Opt-out und dokumentierte Lösch-Workflows beim Anbieter. Automatisierte Einzelentscheidungen nach Art. 22 DSGVO sind nur unter engen Voraussetzungen zulässig; eine menschliche Letztentscheidung mit dokumentierter Begründung ist meist die einfachste rechtskonforme Lösung. Die CIVAC-Workspace-Vorlage „Betroffenenanfrage“ führt durch die 30-Tage-Bearbeitungsfrist nach Art. 12 DSGVO, dokumentiert Kommunikation und Entscheidung, archiviert Anhänge revisionssicher und erzeugt automatisch eine Aktivitätshistorie. Im Hinblick auf den EU AI Act ergänzt die Vorlage „Schwerer Vorfall“ die Meldepflichten an die zuständige Marktüberwachungsbehörde nach Art. 73, derzeit mit einer 15-Tage-Frist für Hochrisiko-Systeme.

KI-Projekte scheitern selten an der Technik, häufiger an der Beweislage. Wer einen Prüfer, einen Auftraggeber im Vergabeverfahren, einen externen Auditor oder eine Aufsichtsbehörde überzeugen will, braucht weniger eine Hochglanz-Strategie als eine geordnete, datierte und nachvollziehbar verantwortete Dokumentation: KI-Anwendungsfälle als Inventar, DSFA mit Datum und Unterschrift des DSB, AVVs mit allen Anbietern und dokumentierter Subprozessor-Liste, TOM mit Wirksamkeitsprüfung, KI-Richtlinie und Schulungsnachweise nach Art. 4 AI Act, Betriebsvereinbarung mit dem Betriebsrat, Meldepfade für Datenpannen und schwere Vorfälle nach AI Act. Diese Dokumente müssen lebendig sein, nicht im Aktenschrank vergilben.

CIVAC ist die Compliance-Plattform und Officer-as-a-Service für genau diese Anforderung. Im Workspace finden Sie 490 einsatzbereite Audit-Vorlagen, darunter KI-Anwendungsfall, DSFA, AVV-Prüfung, TOM-Inventar, KI-Richtlinie, Schulungsnachweis, Betriebsvereinbarung KI und AI-Act-Inventar. EU-Datenresidenz, 93 Controls nach ISO/IEC 27001:2022, revisionssichere Ablage und Berichtslinie zur Geschäftsführung sind eingebaut. Die Bestellurkunde für den externen Datenschutzbeauftragten ist innerhalb der CIVAC-SLA von 2 Werktagen ausgestellt, im Vergleich zu 2 bis 6 Wochen im klassischen Markt. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de, wir antworten am selben Werktag mit Vorschlag, Termin und Bestellurkunde im Entwurf. Ein erstes Kennenlernen dauert in der Regel 30 Minuten, der vollständige Onboarding-Workshop einen halben Tag, die Bestellung der externen Beauftragten ist anschließend in 48 Stunden vollzogen. Sie bekommen außerdem einen festen Hauptansprechpartner, eine dokumentierte Eskalationsstufe für den Vorfall am Wochenende und eine quartalsweise Berichtspflicht zur Geschäftsführung mit Status-Ampel und Kennzahlen. Bestellurkunde, unterschrieben, abgelegt, belegbar.